Diretrizes para a coleta e preservação de evidências
Transcrição
Diretrizes para a coleta e preservação de evidências
Diretrizes para a coleta e preservação de evidências digitais – NC nº 21 Colóquio do CTIR Gov – 2015 Auditório do Anexo I – Palácio do Planalto Brasília/DF Polícia Federal SRCC/DICOR/DPF Polícia Federal Atribuições (em resumo) • Polícia judiciária da União • Infrações de repercussão interestadual e internacional que exigem repressão uniforme – Requer autorização do MJ em alguns casos (Internet) • Tráfico de drogas, contrabando e descaminho • Polícia marítima, aeroportuária e de fronteiras • Conflitos agrários SRCC/DICOR/DPF Histórico • Criada em 2003 para coordenar as ações de: – Combate às fraudes eletrônicas (GPA – Grupo Permanente de Análise) • Internet banking • Clonagem de cartões de crédito/débito – Combate a venda de medicamentos na Internet – Combate aos crimes de Alta Tecnologia – Combate à pornografia infantil (2014 - URCOP) SRCC/DICOR/DPF Estrutura DICOR SRCC GPA URCOP UTC ECI Fraudes Bancárias Pornografia Infantil Treinamento e Prospecção Cooperação Internacional SRCC/DICOR/DPF Estrutura • GRCC’s constituídos – 15 GRCC’s operacionais – Responsável designado nos estados sem GRCC • Atuação em 100% do território nacional. SRCC/DICOR/DPF Missão Coordenação • Combate às fraudes eletrônicas • Segurança cibernética • Crimes de alta tecnologia • Pornografia infantil • Apoio aos crimes cibernéticos impróprios Capacitação e Treinamento Desenvolvimento de Tecnologia de Investigação Cooperação Internacional • Cursos a distância para difusão do conhecimento básico • Cursos presencias para aperfeiçoamento e especialização • Ferramentas específicas para busca de informações e de investigação / inteligência policial • Cooperação na área de crimes cibernéticos com outros países e forças policiais SRCC/DICOR/DPF Operações • Operações 2014/2015 – Fraude Bancária – COURRIEU (Nov/2014-SP) • Desarticular quadrilha responsável pelo desvio de cartões bancários. • Aproximadamente R$ 20.000.000,00 em fraudes – IB2K (Set/2014-DF) • Desarticular organização criminosa voltada ao furto de valores de contas de clientes via internet, bem como à lavagem de dinheiro. – TENTÁCULOS III (Mar/2014-SP) • Desarticular organização criminosa especializada em fraude com retenção de cartões bancários nos Estados de São Paulo e Minas Gerais. • Aproximadamente R$ 720.000,00 em fraudes – SHEIK (Mar/2015-GO) • Preso o maior fraudador Internet Banking da CEF SRCC/DICOR/DPF Projetos • Tentáculos – Base de fraudes bancárias (convênio Caixa e Febraban) – Elaboração de relatórios de análise pelo GPA – Investigação de quadrilhas • • • Otimização de recursos Redução de inquéritos Gênesis – Base de denúncias de pornografia infantil – Parceiros internacionais – Correlação de informações • Oráculo – Coleta de informações em fontes abertas (OSINT) – Coleta de informações de análise de malware – Coleta de informações de incidentes em ETIR • Hórus – Tramitação de dados telemáticos entre empresas de conteúdo/acesso e a PF Crimes Cibernéticos Normatização Atual • Legislação atual sobre Crimes Cibernéticos – – – – – Invasão de dispositivo informático Produção de dispositivo ou software ilícito Obtenção de informações qualificadas e controle remoto Interrupção de serviço Falsificação de cartão de crédito ou débito • Norma Complementar 21/IN01/DSIC/GSIPR – http://dsic.planalto.gov.br/documentos/nc_21_preservacao_de_evidencias.pdf – Diretrizes para: • Registro de eventos • Coleta e preservação de evidências • Comunicação às autoridades competentes Norma Complementar 21 Referencial • Norma Complementar nº 08/IN01/DSIC/GSIPR • ABNT NBR ISO/IEC 27037:2013 • RFC 3227 Conceitos Básicos • Evidência digital: – informação ou dado, armazenado ou transmitido eletronicamente, em modo binário, que pode ser reconhecida como parte de um evento. Tratamento de Incidentes Visão geral Incidente de Segurança Tratamento do Incidente Tratamento das Evidências Digitais Tratamento de Incidentes Visão geral Fonte: http://fdtk.com.br/wiki/tiki-index.php Tratamento das Evidências Visão geral PREPARAÇÃO • • • Formalização da ETIR Treinamento Aquisição de Ferramentas COLETA • • Definir Metodologia Aquisição das Evidências PRESERVAÇÃO • • • • • • • Gerar hash Gravar em mídia Identificar / Embalar / Etiquetar / Transportar e/ou Armazenar de forma segura COMUNICAÇÃO • • • • • Redigir relatório (correlacionar evento/pessoas/local Elaborar o termo de custódia Anexar evidências coletadas Proteger o sigilo/privacidade Formalizar a entrega Tratamento das Evidências Considerações iniciais • Fragilidade da evidência digital • Volatilidade da evidência digital • Criticidade do ativo afetado Tratamento das Evidências Considerações iniciais • Minimizar o manuseio • Documentar todas as ações tomadas e modificações resultantes. • Recursos humanos (ETIR) capacitados Evidência Digital Princípios • Pertinência: – a evidência prova ou refuta um elemento do caso. • Confiabilidade: – a evidência “é o que diz ser”. • Suficiência: – deve-se coletar vestígios suficientes para permitir o exame ou investigação adequados. Evidências Digitais Pontos-chave • Auditabilidade • Repetibilidade / Reprodutibilidade • Justificabilidade Evidências Digitais Tratamento Identificação Coleta/Aquisição Preservação Tratamento das Evidências Identificação • Envolve a busca, reconhecimento e documentação • Priorização com base na importância do ativo e na volatilidade da evidência digital • Possibilidade de evidências ou ativos ocultos (pendrives, partições criptografadas, etc) Tratamento das Evidências Identificação Tratamento das Evidências Ordem de volatilidade 1. Registradores, memória cache 2. Tabela de rotas, cache ARP, tabela de processos, RAM 3. Disco rígido Tratamento das Evidências Coleta/Aquisição Tratamento das Evidências Coleta/Aquisição • Obtenção dos dispositivos computacionais envolvidos e geração de cópia da evidência digital • Disco rígido inteiro, partição ou arquivos selecionados • De acordo com o caso, acondicionar apropriadamente o dispositivo para futura aquisição Tratamento das Evidências Coleta/Aquisição • Evitar sempre que possível métodos que alterem a evidência digital • Documentar o processo • Outros materiais (papéis com senhas, cabos de alimentação, etc) Tratamento das Evidências Coleta/Aquisição • Impossibilidade de cópia da mídia completa: – Ex.: disco muito grande, storage, serviço crítico, etc • Solução: – Aquisição lógica (partições, diretórios ou arquivos relacionados ao incidente) Tratamento das Evidências Coleta/Aquisição • Duas situações: – dispositivo ligado – dispositivo desligado INÍCIO NÃO FIM Dispositivo Ligado Identifique / Documente e preserve todas as evidências SIM Não ligue Não desligue Cópia de dados nãovoláteis Criptografia Armadilhas Dados Voláteis NÃO SIM Fotografar Cópia de dados voláteis Tratamento das Evidências Preservação • Manutenção da integridade e (se for o caso) do sigilo dos dados coletados • Uso de funções de verificação: – resumo criptográfico (hash) • Acondicionamento apropriado: – Proteção contra choque, calor, umidade e magnetismo Norma Complementar 21 Requisitos Importantes • Fonte de tempo confiável (NTP / HLB / ON) • Registro de eventos dos ativos de informação • Registros de eventos (logs) armazenados por no mínimo 6 (seis) meses • Registro de auditoria armazenados remotamente Norma Complementar 21 Coleta e Preservação • Responsabilidade da ETIR • Mídias de armazenamento – Copia dos arquivos caso seja inviável • • • • Todos os registros de eventos Hashes dos arquivos Hash do arquivo de hashes Material lacrado + termo de custódia Norma Complementar 21 Comunicação • Comunicação às autoridades competentes – Relatório de comunicação de incidente de segurança – Envelope lacrado e rubricado – Encaminhamento à autoridade responsável – Autoridade responsável encaminha formalmente para a autoridade competente – Preocupação com a privacidade e sigilo dos dados custodiados Norma Complementar 21 Conclusão • Nova abordagem no tratamento de incidentes • Foco na comunicação para investigação – Não apenas reestabelecimento do serviço • Importância da coleta, preservação, sigilo e custódia de evidências • Relação ETIR x Autoridades Competentes (PF) Tratamento das Evidências Exemplos de cursos • Escola Superior de Redes – ESR/RNP: – Análise forense (http://esr.rnp.br/seg3) • CERT.br: – FIH e AIH (http://www.cert.br/cursos/)
Documentos relacionados
Os Crimes cibernéticos e os novos desafios da perícia - PoP-BA
• Os grandes eventos são uma realidade e representam desafios e oportunidades para os setores público e privado
Leia mais